SpAIware: vulnérabilité de Windsurf Cascade permettant une exfiltration persistante via mémoire et prompt injection

Selon un billet publiĂ© le 24 aoĂ»t 2025, un chercheur dĂ©crit une attaque « SpAIware » contre Windsurf Cascade exploitant la prompt injection et la persistance en mĂ©moire pour exfiltrer des donnĂ©es de façon continue. Windsurf Cascade est une fonctionnalitĂ© intĂ©grĂ©e Ă  l’éditeur de code Windsurf (basĂ© sur Visual Studio Code) qui s’appuie sur l’intelligence artificielle pour assister les dĂ©veloppeurs. L’article explique que Windsurf Cascade dispose d’un outil interne « create_memory » qui est invquĂ© automatiquement sans approbation humaine. Cette conception permet Ă  un attaquant, via une prompt injection indirecte (par exemple dans un commentaire de code C, un ticket GitHub ou une page web), de persister des instructions malveillantes dans la mĂ©moire Ă  long terme de l’agent. L’impact revendiquĂ© couvre la confidentialitĂ©, l’intĂ©gritĂ© et la disponibilitĂ© des futures conversations. ...

24 aoĂ»t 2025 Â· 3 min

Un acteur vendrait 15,8 M d’identifiants PayPal issus de logs d’infostealers

Selon Hackread.com (18 aoĂ»t 2025), un acteur de menace se prĂ©sentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisĂ© « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liĂ©es aux services PayPal. Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes Ă  l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrĂ©es raw email:password:url. Les Ă©chantillons montreraient des adresses Gmail associĂ©es Ă  des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggĂ©rant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳 ...

24 aoĂ»t 2025 Â· 3 min

Une filiĂšre tchĂšque au cƓur de l’écosystĂšme du spyware Predator d’Intellexa

Source: Investigace.cz — EnquĂȘte sur le rĂŽle d’acteurs basĂ©s en TchĂ©quie dans la chaĂźne d’approvisionnement d’Intellexa (Predator), sur fond de sanctions amĂ©ricaines et de procĂšs en GrĂšce. L’enquĂȘte met au centre Dvir Horef Hazan, entrepreneur israĂ©lien installĂ© Ă  Krnov (TchĂ©quie), qui aurait servi de fournisseur/fixeur pour Intellexa et sociĂ©tĂ©s affiliĂ©es (au moins €1,73 M versĂ©s de 2019 Ă  dĂ©but 2023). À Krnov, plusieurs de ses entitĂ©s (Zambrano Trade s.r.o., Hadastech s.r.o., Shilo s.r.o.) ont expĂ©diĂ© vers Intellexa S.A. (GrĂšce) du matĂ©riel rĂ©seau, SDR/USRPs, routeurs cellulaires, serveurs, onduleurs, capteurs, avec une facture initiale en 2020 pour du « matĂ©riel de labo d’occasion » et des livraisons totalisant prĂšs de €500k. Un bon d’expĂ©dition (12/2020) mentionne « 18 palettes de piĂšces informatiques ». Une facture du 28/07/2022 cite un paiement pour POC « Aladin », systĂšme qu’Intellexa prĂ©sentait en 2022 pour des infections Ă  distance via publicitĂ©s (potentiellement zero‑click). Hazan a aussi agi comme intermĂ©diaire pour des stands de confĂ©rences (dont ISS World Prague 2022). ...

24 aoĂ»t 2025 Â· 3 min

0-day dans le pilote kernel d’Elastic EDR: RCE et DoS persistants

Selon Ashes Cybersecurity (billet de recherche du 21 aoĂ»t 2025), une vulnĂ©rabilitĂ© 0‑day dans le pilote kernel « elastic-endpoint-driver.sys » d’Elastic EDR permettrait une chaĂźne d’attaque complĂšte aboutissant Ă  un bypass EDR, de la RCE, de la persistance et un DoS privilĂ©giĂ© provoquant un BSOD sur les hĂŽtes protĂ©gĂ©s. Le chercheur dĂ©crit une chaĂźne en quatre Ă©tapes: 1) contournement d’Elastic Agent/Elastic Defend via un loader C maison, 2) exĂ©cution de code Ă  faible privilĂšge sans dĂ©tection, 3) persistance par chargement d’un pilote personnalisĂ© interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant oĂč le pilote d’Elastic adopte un comportement de type malveillant et peut rendre le systĂšme inutilisable đŸš«. ...

21 aoĂ»t 2025 Â· 2 min

Apple corrige le zero-day CVE-2025-43300 dans Image I/O exploité via des images piégées

Source: helpnetsecurity.com (20 aoĂ»t 2025). Apple a colmatĂ© CVE-2025-43300, une vulnĂ©rabilitĂ© zero-day d’écriture hors limites (out-of-bounds write) dans le framework Image I/O, dĂ©clenchable lors du traitement d’une image malveillante et menant Ă  une corruption mĂ©moire exploitable. Apple indique que la faille a Ă©tĂ© activement exploitĂ©e dans des attaques ciblĂ©es. 🔧 Correctif: Apple affirme avoir corrigĂ© le problĂšme par une amĂ©lioration des contrĂŽles de limites (improved bounds checking). đŸ–„ïž Produits/versions corrigĂ©s: ...

21 aoĂ»t 2025 Â· 1 min

ClickFix: Microsoft dĂ©taille une technique d’ingĂ©nierie sociale contournant les dĂ©fenses pour livrer des malwares sur Windows et macOS

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique dĂ©taillant, avec exemples et IOCs, l’essor de la technique d’ingĂ©nierie sociale « ClickFix » observĂ©e depuis 2024. ‱ ClickFix insĂšre une Ă©tape d’« interaction humaine » dans la chaĂźne d’attaque via des pages d’atterrissage qui miment des vĂ©rifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exĂ©cutent elles‑mĂȘmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrĂ©es incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifiĂ©). Beaucoup d’exĂ©cutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

21 aoĂ»t 2025 Â· 4 min

Clickjacking DOM des extensions: 0‑day dans 11 gestionnaires de mots de passe

Source et contexte: Recherche publiĂ©e par Marek TĂłth (prĂ©sentĂ©e Ă  DEF CON 33), initialement le 9 aoĂ»t 2025 et mise Ă  jour le 20 aoĂ»t 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectĂ©es par des extensions de navigateur. La recherche dĂ©crit une nouvelle technique gĂ©nĂ©rale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les Ă©lĂ©ments d’UI injectĂ©s par les extensions dans le DOM, tout en restant cliquables. TestĂ©e sur 11 gestionnaires de mots de passe, la mĂ©thode a montrĂ© que tous Ă©taient vulnĂ©rables Ă  ce type d’attaque (et certains aussi Ă  la variante IFRAME via web_accessible_resources mal configurĂ©s). ...

21 aoĂ»t 2025 Â· 3 min

Failles XSS dans le chatbot IA de Lenovo permettent vol de cookies et exécution de scripts

Source: Cybernews (18.08.2025). Des chercheurs de Cybernews ont dĂ©couvert des vulnĂ©rabilitĂ©s critiques dans l’implĂ©mentation du chatbot IA « Lena » de Lenovo (propulsĂ© par GPT‑4), permettant des attaques de type Cross‑Site Scripting (XSS) dĂ©clenchĂ©es par un simple prompt et pouvant mener au vol de cookies de session, Ă  l’exĂ©cution de scripts non autorisĂ©s sur des machines de l’entreprise et potentiellement Ă  une compromission de la plateforme de support client. ⚠ Points clĂ©s: les failles proviennent d’une sanitisation insuffisante des entrĂ©es utilisateur et des sorties du chatbot, de l’absence de vĂ©rification par le serveur web du contenu produit par le chatbot, de l’exĂ©cution de code non vĂ©rifiĂ© et du chargement de ressources web arbitraires. Cybernews a divulguĂ© de maniĂšre responsable; Lenovo a accusĂ© rĂ©ception et a protĂ©gĂ© ses systĂšmes. ...

21 aoĂ»t 2025 Â· 2 min

FBI: un groupe russe exploite une faille de 2018 sur des équipements Cisco non patchés

Selon The Record, le FBI a publiĂ© un avertissement indiquant qu’un groupe de cyber‑espionnage russe intensifie ses attaques contre des Ă©quipements rĂ©seau Cisco non patchĂ©s en exploitant une vulnĂ©rabilitĂ© identifiĂ©e pour la premiĂšre fois en 2018. ( CVE-2018-0171 ) 🚹 L’alerte met en avant une campagne de cyber‑espionnage ciblant des Ă©quipements Cisco restĂ©s non corrigĂ©s, avec l’exploitation d’une vulnĂ©rabilitĂ© datant de 2018. Le FBI observe une augmentation de ces tentatives. Les Ă©lĂ©ments clĂ©s rapportĂ©s: ...

21 aoĂ»t 2025 Â· 1 min

Les prix des outils de piratage mobile pour gouvernements grimpent avec le durcissement de la sécurité

Selon TechCrunch, les prix des outils de piratage mobile permettant Ă  des gouvernements d’entrer dans des tĂ©lĂ©phones augmentent, une Ă©volution attribuĂ©e aux efforts des entreprises technologiques pour renforcer la cybersĂ©curitĂ©. “Une nouvelle start-up basĂ©e aux Émirats arabes unis offre jusqu’à 20 millions de dollars pour des outils de piratage qui pourraient aider les gouvernements Ă  accĂ©der Ă  n’importe quel smartphone Ă  l’aide d’un simple SMS.” 📈 Tendance: hausse des tarifs sur le marchĂ© des outils d’intrusion mobile. 🎯 Cible: smartphones. đŸ›ïž Acteurs: gouvernements acheteurs de ces capacitĂ©s. 🔐 Cause principale: durcissement de la sĂ©curitĂ© par les entreprises technologiques. Impact et dynamique: la raretĂ© accrue et la complexitĂ© nĂ©cessaires pour contourner des protections plus robustes tirent les prix Ă  la hausse, rendant ces outils plus coĂ»teux Ă  dĂ©velopper et Ă  acquĂ©rir. ...

21 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 10 juillet 2026 📝